摘要：目前工控安全形勢嚴峻，而傳統的信息安全以防御為主，沒(méi)有針對工業(yè)控制系統的獨特性進(jìn)行量身打造，難以有效抵御各種安全事故的發(fā)生。工業(yè)控制系統的核心價(jià)值體現在最終的生產(chǎn)環(huán)節，一般要產(chǎn)生破壞效果，需要通過(guò)對生產(chǎn)系統造成影響，才能達到其目的。針對工業(yè)控制系統的安全需求，本文提出工控伴生安全新模式，通過(guò)建立一套與工業(yè)控制系統并行伴生的安全系統，對工業(yè)生產(chǎn)控制過(guò)程進(jìn)行及時(shí)有效的監督診斷和干預恢復，實(shí)現工業(yè)生產(chǎn)過(guò)程的安全管控。

關(guān)鍵詞：工控安全；軟件定義；伴生；大安全

Abstract: Nowadays most Industrial Control Systems (ICS) are in great dangerous,and the traditional information security focuses on defense, which is not based on the characteristics of ICS, thus difficult to effectively avoid the occurrence of various accidents. The kernel value of ICS is embodied in the production phase, and to cause any accident, it is a must to influence the production system. According to the safety requirement of ICS, we propose a new framework, i.e., ICS Associated Safety. To do so, an Associated Safety system is built, in parallel with ICS, to monitor and intervention during production, thus to realize the safety control of industrial production process.

Key words: Industrial Control Systems; Software-defined; Associated; Macro-security

1　引言

工業(yè)控制系統（簡(jiǎn)稱(chēng)工控系統）指的是利用控制理論、儀器儀表、計算機和其他信息技術(shù)，對工業(yè)生產(chǎn)過(guò)程實(shí)現檢測、控制、優(yōu)化、調度、管理和決策，使工廠(chǎng)的生產(chǎn)和制造過(guò)程更加自動(dòng)化、效率化、精確化，并具有可控性及可視性，從而達到增加產(chǎn)量、提高質(zhì)量、降低消耗等目標。

目前，工控系統普遍采用通用協(xié)議、硬軟件系統，并且與企業(yè)內網(wǎng)，甚至是與互聯(lián)網(wǎng)發(fā)生了應用對接。在“工業(yè)4.0”背景下，針對用戶(hù)的需求，提供精準的服務(wù)成為重要的發(fā)展趨勢，從而也需要工業(yè)生產(chǎn)

方式有所變革，逐漸轉化為“按需定制”。這種需求方式的變革對工業(yè)生態(tài)的要求越來(lái)越高，尤其是對于現有海量的存量市場(chǎng)，如何應對新的需求是一個(gè)亟待解決的難題。隨著(zhù)工控系統的發(fā)展，尤其是互聯(lián)網(wǎng)接入，使得傳統信息安全威脅逐漸擴散至工控系統，新的安全問(wèn)題層出不窮，工控系統安全面臨前所未有的嚴峻形勢。

2　工控安全

工控系統目前被廣泛地應用在支撐國家安全、國計民生、經(jīng)濟發(fā)展等核心領(lǐng)域，工控系統安全事故對社會(huì )和經(jīng)濟造成的危害也愈來(lái)愈嚴重。正是由于工控系統的重要性，其逐漸成為重點(diǎn)攻擊目標，工控系統安全問(wèn)題受到越來(lái)越多的關(guān)注。

傳統工控系統以生產(chǎn)持續優(yōu)先，最看重系統的可用性，多采用基于主從關(guān)系的非對等網(wǎng)絡(luò )，側重于安全防護能力的建設。在安全問(wèn)題方面，工控系統更多地將其轉化為傳統信息系統的安全問(wèn)題。但是，由于工控系統的獨特性，其核心價(jià)值體現在最終的生產(chǎn)環(huán)節，需要有一套量身打造的能夠落實(shí)在生產(chǎn)環(huán)節的安全產(chǎn)品，才能有效抵御各種安全事故的發(fā)生，為客戶(hù)帶來(lái)安全防護的真正價(jià)值。

傳統信息安全防護的目標是信息，以防御為主。因為一旦突破信息訪(fǎng)問(wèn)的屏障，信息的安全性將蕩然無(wú)存。對于工控系統而言，工業(yè)信息的安全性固然重要，最核心的安全威脅是在突破安全防御后，對生產(chǎn)造成實(shí)質(zhì)性的破壞，影響到生產(chǎn)，包括出現生產(chǎn)事故或者降低生產(chǎn)效率。一般工控安全事故要產(chǎn)生破壞效果，需要通過(guò)對生產(chǎn)系統造成影響，才能達到其目的。

目前的工控安全是把工控與安全割裂開(kāi)，信息安全廠(chǎng)商和控制廠(chǎng)商從各自理解出發(fā)，過(guò)分強調各自部分的重要性，不能從工業(yè)生產(chǎn)的全局來(lái)考慮工控與安全的有機融合，導致現在的工控安全解決方案仍拘泥于“防護”，遵循傳統的信息安全分區隔離、邊界防護理念，未能深入工控系統的本質(zhì)，從而難以避免到處補缺查漏，疲于奔命的困境。

3　工業(yè)控制系統的本質(zhì)

工控系統的本質(zhì)是生產(chǎn)控制。目前的工業(yè)生產(chǎn)系統或工控系統，主要聚焦在生產(chǎn)控制過(guò)程，但缺乏對生產(chǎn)過(guò)程的監督診斷和干預、自主診斷和恢復功能，使得系統容易受外界的操縱，從而引發(fā)安全生產(chǎn)事故。

工控系統由于其“兩個(gè)有限”（合法狀態(tài)有限、合法指令有限）的特性，在狀態(tài)可明確窮舉和每個(gè)狀態(tài)合法指令有限條件下，工控系統的執行裝置和控制設備的運行狀態(tài)、接收和下發(fā)的指令都是可監測和檢測的。無(wú)論是外部攻擊還是誤操作等任何原因造成的狀態(tài)異常以及非法指令，也都是可知，因此，在“兩個(gè)有限”原則下，實(shí)現對工控系統安全運行態(tài)勢的監測，是完全可行并且可信的。

為了確保工業(yè)生成過(guò)程的安全有序，工業(yè)控制系統應該包括工控系統和安全保障系統，即大安全的工控系統，如圖1所示。從本質(zhì)而言，工控系統的設計目標在生命周期內的功能安全可達性，是以實(shí)現工業(yè)系統可用性為目標，綜合運用功能安全、信息安全等技術(shù)手段和防護措施，保障工業(yè)系統在生命周期內的安全穩定運行。

圖1 工業(yè)控制系統的大安全

在工控系統的核心工業(yè)流程基礎上，實(shí)現對工業(yè)流程的基本控制，通過(guò)對流程進(jìn)行過(guò)程監控了解工控的運行狀態(tài)，并對各類(lèi)操作的合法性進(jìn)行管理；在此基礎上，實(shí)現對工業(yè)流程控制、過(guò)程和操作的安全監測，對非法的指令操作進(jìn)行報警，并對指令執行的過(guò)程進(jìn)行控制，確保對工控系統的防護；在對工業(yè)流程進(jìn)行監控預警的基礎上，通過(guò)對工控全系統安全態(tài)勢感知，為系統、企業(yè)級的預警提供支持，同時(shí)為更大區域內的社會(huì )應急提供數據支撐。

4　工控伴生安全模式

針對目前工控系統重控制的實(shí)際情況，結合當下工控系統的現狀，存量與增量并存，本文提出工控系統伴生安全新模式。

工控系統伴生安全模式是指通過(guò)建立一套與工業(yè)控制系統并行伴生的安全系統，實(shí)現對工業(yè)生產(chǎn)控制過(guò)程的及時(shí)有效的監督診斷和干預恢復，以及對生產(chǎn)過(guò)程的安全管控，如圖2所示。

圖2 工控伴生安全模式

通過(guò)對工業(yè)控制系統運行狀態(tài)的監測，主要是對指令的合法性進(jìn)行判斷，并進(jìn)行安全態(tài)勢的分析預測，實(shí)現對控制過(guò)程安全性能的保障。在傳統的以防護為主的信息安全之外，加上對最終控制過(guò)程的監測，將安全與控制相伴而生。在發(fā)現工控安全隱患之后，利用先前設定的知識庫，向工控系統發(fā)出有效的安全控制指令，以期避免安全事故的發(fā)生。

工控伴生安全模式，通過(guò)將安全控制與工控系統鏡像運行，在不影響工控系統運行效率的前提下，實(shí)現對工控過(guò)程的安全監測、態(tài)勢預警和控制，實(shí)現了高靈活性的安全控制。由于伴生安全系統與工控系統并行獨立，在保證獨立性的前提下實(shí)現了良好的靈活性和可適配性，無(wú)論對于存量還是增量系統，都能通過(guò)伴生安全系統實(shí)現工控系統的大安全。

5　軟件定義的工控伴生安全

為了建立工控伴生安全模式，本文提出利用軟件定義的方式，通過(guò)設立兩級安全控制器，實(shí)現面向工控本質(zhì)的安全控制系統。

軟件定義是指利用軟件實(shí)現系統的功能，用軟件給硬件賦能，實(shí)現系統運行效率和能量效率最大化?！败浖x”的核心是硬件資源虛擬化和管理功能可編程。所謂硬件資源虛擬化，是將硬件資源抽象為虛擬資源，然后由系統軟件對虛擬資源進(jìn)行管理和調度。管理功能可編程是指在硬件資源虛擬化的基礎上，用戶(hù)可編寫(xiě)應用程序，通過(guò)系統調用接口，訪(fǎng)問(wèn)資源所提供的服務(wù)，更重要的是能夠靈活管理和調度資源，以滿(mǎn)足應用對資源的多樣需求。從程序設計的角度，工控系統的行為可以通過(guò)軟件進(jìn)行定義，成為所謂的“軟件定義的系統”。

通過(guò)軟件定義，可以建立工控系統的對外硬件接口，通過(guò)基礎軟件實(shí)現對工控硬件資源的統一管控，并通過(guò)標準化的編程接口對外提供訪(fǎng)問(wèn)接口。安全系統在編程接口的基礎上，實(shí)現對工控運行狀態(tài)的監測，并利用內建的工控安全知識庫，建立基于人工智能的工控安全的態(tài)勢感知，并根據安全狀態(tài)發(fā)出控制指令，實(shí)現對系統的干預。

安全系統與工控系統并行運行，安全系統的運行獨立于工控系統，通過(guò)對工控運行中的狀態(tài)監測和干預實(shí)現安全防護。由于不參與工業(yè)控制系統的生產(chǎn)過(guò)程，而是通過(guò)伴生的方式進(jìn)行安全防護，從而實(shí)現在一定靈活程度下的工控安全。

基于軟件定義的思路，根據工控系統的實(shí)際情況，將工控系統中具有獨立監控功能的模塊作為本體。每個(gè)本體包含輸入、輸出以及控制功能。本體可以通過(guò)嵌套形成從設備到現場(chǎng)，乃至最終形成一個(gè)完整的工控系統。

工業(yè)控制系統中，不同層級的控制要求是不同的?，F場(chǎng)設備級的控制功能簡(jiǎn)單，但對實(shí)時(shí)性要求很高，需要給出及時(shí)反饋。在此之上的控制管理，由于需要進(jìn)行更大量的計算，需要能夠完成比較大的計算量。針對工業(yè)控制的這個(gè)特點(diǎn)，本文設定了輕載、重載二級的工控伴生安全系統結構，如圖3所示。

圖3 兩級的工控伴生安全體系

輕載控制器主要是部署在設備級，具體執行預設的工控安全管理，并且可以接收來(lái)自上層（重載控制器）的工控安全規則的更新，在完成對所控制設備的安全管理的同時(shí)，也將設備的安全狀況及時(shí)上傳到重載控制器中。重載控制器主要通過(guò)對下轄的輕載控制器的數據采集，完成對現場(chǎng)的態(tài)勢感知，同時(shí)根據各個(gè)設備的安全情況，對安全管理規則進(jìn)行有針對性的更新，同時(shí)實(shí)現自學(xué)習和自組織等智能化安全管理。

（1）輕載控制器

融合某些儀表的功能，具備支撐不同級別控制器的基本硬件基礎資源，包括完成簡(jiǎn)單監測控制功能，并適當冗余。實(shí)現設備級實(shí)時(shí)安全防危，實(shí)現對設備的安全監測和預警，利用內嵌的可重定義的安全規則，保障設備運行的安全。用于支持功能安全保障，以及信息安全功能實(shí)現。同時(shí)為實(shí)現全局的工控安全管理，提供通訊功能實(shí)現工控數據的上傳下達。

利用人工智能技術(shù)，實(shí)現對設備的安全預警，實(shí)現對監測設備的自診斷，并做到簡(jiǎn)單自愈。利用智能芯片，建立針對工控安全的人工智能的訓練及應用模塊，實(shí)現對工控安全的自調節控制，自適應控制；建立基于防危的自診斷，并實(shí)現基于專(zhuān)家系統的簡(jiǎn)單自愈（比如重啟）。在異常狀況下，可在不影響正常生產(chǎn)（或者對生產(chǎn)影響最?。┑臅r(shí)段實(shí)現安全恢復。

（2）重載控制器

融合RTU、PLC等部分硬件功能，具備支撐不同級別控制器的硬件基礎資源，實(shí)現工控現場(chǎng)的安全監測以及態(tài)勢感知，對現場(chǎng)內的各種設備的綜合監控和協(xié)調，內置工控安全預測和態(tài)勢感知，實(shí)現現場(chǎng)級工控系統的操作和信息的安全監控。包括完成復雜工控安全處理功能的智能芯片，并適當冗余，用于支持信息安全功能實(shí)現。

利用歷史數據實(shí)現工控安全模型的自學(xué)習，利用軟件定義功能做到工控系統的自組織；建立工控系統的復雜自愈、自恢復（自清洗），并利用人工智能中的對抗網(wǎng)絡(luò )實(shí)現工控系統的安全自治、自管理和自主保障，實(shí)現自組織自學(xué)習等高級智能，具備自學(xué)習、自組織、復雜自愈和自恢復。

通過(guò)對現場(chǎng)內設備狀態(tài)的監測分析，實(shí)現對防危知識庫的優(yōu)化配置，并通過(guò)下發(fā)對輕載控制器的安全防危進(jìn)行優(yōu)化定義。同時(shí)為實(shí)現云端的工控安全管理，需要在不同層級的控制器上實(shí)現通訊功能，實(shí)現工控數據的上傳下達。

利用人工智能技術(shù)，通過(guò)對各個(gè)現場(chǎng)重載控制器的數據融合，建立工控系統的安全態(tài)勢感知。通過(guò)對安全態(tài)勢的分析，實(shí)現安全控制策略的下發(fā)。建立工控安全知識庫，建立行業(yè)標準的知識庫，同時(shí)針對具體應用場(chǎng)景建立定制化的知識庫，提高工控安全系統的適配性。

利用工控伴生安全系統，可以實(shí)現對存量和增量系統的統一處置。針對存量系統，將現有的硬件功能模塊定義為硬件實(shí)現的本體。在此基礎上，通過(guò)本體間嵌套，加入軟件定義的新功能模塊，實(shí)現基于存量系統的安全工控系統，具備硬件和軟件定義交叉的特性。對于增量系統，利用虛擬化技術(shù)，在硬件平臺的基礎上，實(shí)現軟件定義的控制和安全模塊。

6　總結

目前工控安全形勢嚴峻，缺少針對性解決方案以及服務(wù)模式。歷年的工控安全事件表明僅依靠現有的信息安全、功能安全防護措施是遠遠不夠的。在工控安全理論體系、技術(shù)框架體系、產(chǎn)品譜系、咨詢(xún)測試測評評估系列服務(wù)、工控安全全面解決方案、工控安全工作長(cháng)效協(xié)作機制等方面，還有很長(cháng)的路要走。

針對工控系統中的功能信息操作等安全需求，結合人工智能技術(shù)，通過(guò)軟件定義，建立輕載和重載控制器相結合的工控系統伴生安全智能控制體系。從而實(shí)現輕載和重載的安全控制，做到靈活可配置，并能夠具有很高的行業(yè)適配性。

從工控本質(zhì)出發(fā)，針對存量、增量、服務(wù)，探索工控系統運行安全的本質(zhì)機理，本文提出工控伴生安全體系，研發(fā)安全的工控產(chǎn)品和防護產(chǎn)品，形成針對性解決方案，全面提高工控系統安全運行的綜合保障能力，是一個(gè)可行的行動(dòng)路線(xiàn)。

作者簡(jiǎn)介

王　彬（1975-），男，江蘇南京人，現任北京安控科技股份有限公司副總裁，北京安控工控安全研究院院長(cháng)，主要從事自動(dòng)化和工業(yè)控制系統及安全研究。

朱廷劭（1973-），男，中國科學(xué)院大學(xué)教授，研究工作涉及機器學(xué)習、漢語(yǔ)文語(yǔ)轉換以及網(wǎng)絡(luò )行為心理研究等多個(gè)領(lǐng)域。

徐新國（1966-），男，安徽合肥人，博士，教授級高級工程師，現任北京安控科技股份有限公司首席科學(xué)家，主要從事信息化和工業(yè)控制系統安全研究。

參考文獻：

[1] 王彬, 徐新國. 關(guān)于工業(yè)控制系統本體安全的思考[J]. 自動(dòng)化博覽, 2018, ( S2 ): 54 － 56.

[2] 徐新國, 朱廷劭, 康衛 基于數據庫挖掘的工業(yè)控制系統防危機制研究[J]. 電子技術(shù)應用, 2012, 38 ( 5 ): 87 - 90 .

[3] KONSTANTINIM, 夏光. 切爾諾貝利事故:問(wèn)題的實(shí)質(zhì)[J]. 科學(xué)對社會(huì )的影響, 1992, ( 03 ): 168 － 172.

[4] 見(jiàn)宏偉, 雷航. 自適應防危策略的設計技術(shù)研究[J]. 微計算機信息, 2010, ( 09 ): 65 - 67.

[5] 張帥. 工業(yè)控制系統安全現狀與風(fēng)險分析[J]. 計算機安全, 2012, ( 01 ): 15 - 19.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》